Wpeeper 移动恶意软件

安全分析师发现了一种针对 Android 设备的新型恶意软件。这种名为 Wpeeper 的恶意软件之前并不为人所知，它利用被入侵的 WordPress 网站来掩盖其命令和控制 (C2) 服务器连接，使其更难被发现。Wpeeper 以 ELF 二进制文件的形式运行，并利用 HTTPS 与其 C2 服务器进行安全通信。

Wpeeper 是 Android 的标准后门木马，可执行各种活动，包括收集敏感设备数据、文件和目录管理、文件传输（上传和下载）以及远程命令执行。

Wpeeper 恶意软件通过受感染的 Android 应用程序感染设备

被感染的 ELF 二进制文件隐藏在 Android 版 UPtodown App Store 应用程序的修改版本（包名“com.uptodown”）中，APK 文件作为后门的载体，旨在避免被发现。

此次攻击活动选择 Uptodown App Store 应用表明，攻击者试图伪装合法的第三方应用市场，并欺骗毫无戒心的用户安装该应用。根据 Android-apk.org 的统计数据，迄今为止，该应用的受感染版本 (5.92) 已被下载 2,609 次。

Wpeeper 恶意软件利用复杂的命令和控制架构

Wpeeper 采用复杂的 C2 架构，其中涉及受感染的 WordPress 网站作为中介来混淆其真正的 C2 服务器。在此基础设施中已识别出多达 45 个 C2 服务器，其中 9 个被硬编码到样本中以动态更新 C2 列表。

这些硬编码服务器并非真正的 C2，而是 C2 重定向器 — 它们的目的是将机器人的请求转发给真正的 C2，旨在保护真正的 C2 不被检测到。这也引发了人们的担忧，即攻击者可能直接控制一些硬编码服务器，因为如果 WordPress 网站管理员意识到这一入侵并采取纠正措施，则存在失去对僵尸网络访问权限的风险。

攻击者可以对受感染的设备执行各种侵入操作

从 C2 服务器收到的命令使恶意软件能够收集设备和文件详细信息、列出已安装的应用程序、更新 C2 服务器、从 C2 服务器或指定的 URL 下载并运行其他有效负载以及自我删除。

目前尚不清楚此次攻击活动的全部目标和范围。不过，有人怀疑这种欺骗手段可能是为了增加安装数量，从而暴露恶意软件的功能。

为了最大限度地减少此类恶意软件带来的危害，务必专门安装来自信誉良好的来源的应用程序，并在下载之前仔细检查应用程序评级和权限。